WPA-EAP ve MSCHAP-v2 ile wpa_supplicant.conf içinde şifreleri gizleme

Benim wpa_supplicant.confşuna benziyor:

network={
  ssid="Some name"
  scan_ssid=1
  key_mgmt=WPA-EAP
  eap=PEAP
  identity="my-user-id"
  password="(clear text password here)"
  ca_cert="/usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt"
  phase2="auth=MSCHAPV2"
}

Bu özel WPA-EAP ve MSCHAP-v2 kombinasyonuyla, bu yapılandırma dosyasına şifremi açıkça eklememenin bir yolu var mı?

ChangeLog bunun mümkün olduğunu iddia ediyor gibi görünüyor (2005'ten beri!):

* added support for storing EAP user password as NtPasswordHash instead
  of plaintext password when using MSCHAP or MSCHAPv2 for
  authentication (hash:<16-octet hex value>); added nt_password_hash
  tool for hashing password to generate NtPasswordHash

Bazı notlar:

• Farklı bir şifre kullanmak bir seçenek değildir, çünkü bu ağ üzerinde kontrolüm yok (bu bir kurumsal ağ ve Wifi'ye bağlanmak da dahil tüm hizmetlere erişmek için tek bir kullanıcı adı / şifre kullanılıyor).

• Kopyalarla ilgili bir kelime:

  • 40: use-wpa-supplicant-düz-metin-şifreler olmadan önceden paylaşılan anahtarlar hakkında
  • 74500: wpa-supplicant-store-password-as-hash-wpa-eap-with-phase2-auth-pap , PAP'ı faz-2 kimlik doğrulaması olarak kullanır (MSCHAP-v2 değil).
  • 85757: mağaza-şifresi-has-has-içinde-wpa-supplicant-conf bu soruya çok benzer, fakat (yanlış) 74500'ün kopyası olarak kapatıldı ; ne yazık ki, iddia edilen kopyaya verilen cevaplar PAP'a özeldir ve MSCHAP-v2 vakası için geçerli değildir. 85757'nin kendisi, protokolden bağımsız olarak esasen imkansız olduğunu iddia eden bir cevaba sahiptir, ancak gerekçe geçersizdir ¹

¹ Anser bir karma şifre kullanmanın karma değerinin şifre olduğu anlamına geldiğini iddia ediyor. Bu teknik olarak doğrudur, ancak en azından karma, yalnızca hizmete açık bir paroladır; bu, birden çok hizmete erişim sağlayan paylaşılan bir parolayı sızdırma konusunda önemli bir ilerlemedir .

Sen oluşturabilir NtPasswordHashaşağıdaki gibi kendini (aka NTLM şifre karma):

echo -n plaintext_password_here | iconv -t utf16le | openssl md4

Wpa_supplicant.conf dosyasında "hash:" ile önek girin, yani

password=hash:6602f435f01b9173889a8d3b9bdcfd0b

MacOS'ta iconv kodu UTF-16LE

echo -n plaintext_password_here | iconv -t UTF-16LE | openssl md4

Fazla güvenlik sağlamadığınızı unutmayın. Bir saldırgan dosyayı karması ile bulursa, ağa trivally katılabilir (bilgisayarınızın yaptığı gibi), bu nedenle şifreyi kullanmak hiçbir şekilde yardımcı olmaz. Parola başka bir yerde kullanılıyorsa, saldırganın orijinal parolayı bulmak için kaba kuvvet kullanması gerekir (örn. En olası parolaları deneyin ve bir eşleşme bulana kadar karma değerlerini hesaplayın). Sıradan bir bilgisayarda saniyede yaklaşık 1 milyar karma hesaplayabildiğiniz için, bu büyük bir engel değildir ve saldırganlar tuzsuz olduğu için önceden hesaplanmış tabloları kolayca kullanabilirler. NT şifre şifreleme algoritması olarak gerçekten korkunç.

Açık terminal ve tip:

wpa_passphrase YOUR_SSID YOUR_PASSWORD

Örnek çıktı:

network={
    ssid="YOUR_SSID"
    #psk="YOUR_PASSWORD"
    psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702
}

wpa_supplicant.confDosyayı açın ve aşağıdaki satırı ekleyin:

psk=6a24edf1592aec4465271b7dcd204601b6e78df3186ce1a62a31f40ae9630702